Penetrationstest

„IT-Security basiert nicht nur auf Technik.“

Carl Dietzel, CEO

WordCloud_Nearshoring

Motivation

Die Wirksamkeit definierter Sicherheitsmaßnahmen kann mit einem Penetrationstest so gut wie möglich überprüft werden. Dieser Test untersucht die Effizienz der Maßnahmen und Kontrollen und identifiziert offene Schwachstellen, die nach dem Test geschlossen werden können.

Der Penetrationstest kann auch dann hilfreich sein, um nach einem erfolgten Zugriff externer Dritter auf Unternehmenssysteme und deren forensischer Analyse, hierdurch weitere offene Schwachstellen festzustellen. Auch sollten eigenentwickelte Anwendungen vor dem Produktivbetrieb einem Penetrationstest unterzogen werden, um mögliche Schwachstellen zu identifizieren.

Testvarianten

Penetrationstests werden in der Regel als Black-Box- oder White-Box-Test durchgeführt. Wenn die Motivation für einen Test darin besteht, die Frage zu beantworten, ob unbekannte Dritte Zugang zu Unternehmensdaten erhalten können, kann dies mit einem Black-Box-Test erreicht werden. Der Tester verfügt nur über rudimentäre Kenntnisse über das Zielsystem, z.B. eine IP-Adresse des Systems. In den weiteren Aktivitäten verhält sich der Tester wie ein typischer Hacker, um anhand der bekannten Adresse eine Schwachstelle zu finden und gegebenenfalls auszunutzen.

Im Rahmen des White Box-Tests erhalten die Tester detaillierte Informationen über die Zielumgebung (siehe „Scoping“) und können somit alle potentiellen Angriffsvektoren identifizieren und untersuchen. Bei einer umfangreichen Untersuchung ist der White Box-Test vorzuziehen, da hier aufgrund bekannter Detailinformationen zu den Anwendungen und Systemen keine Schwachstellen übersehen werden. Darüber hinaus kann dieser Test ausnutzbare Schwachstellen identifizieren, die von berechtigten Anwendern (Innentäter) ausgenutzt werden können. Ein White Box-Test liefert durch die Betrachtung von unterschiedlichen Angriffsszenarien dabei auch Informationen über Schwachstellen, die von Angreifern von außen ohne interne Kenntnisse ausgenutzt werden können, umfasst also auch die Sichtweise des Black Box-Tests.

WordCloud_Nearshoring
WordCloud_Nearshoring

Phasen

Die Durchführung eines Penetrationstests hängt vom jeweiligen System / Anwendung ab und berücksichtigt typischerweise die folgenden Phasen:

  • Scoping (Abstimmung über Testinhalte und Testvorgehen, Abstimmung relevanter Hintergrundinformation zum Test)
  • Reconnaissance (Informationssammlung /-beschaffung)
  • Enumeration (Identifikation von Angriffsvektoren)
  • Exploitation (Ausnutzen identifizierter Schwachstellen)
  • Documentation (Festhalten relevanter Testszenarien, Übersicht der Testergebnisse)

Angebote

Die Umgebungen sind von Anwender zu Anwender verschieden, so dass wir gerne ein individuelles Angebot für Sie erstellen. Exemplarisch möchten wir Ihnen gerne unser Basispaket B1 vorstellen:

B1 - Basis-Penetrationstest mit 1 System

Der grundlegende Penetrationstest ist eine schnelle und kostengünstige Prüfung mit einer Kombination aus automatisierten Scans und manueller Überprüfung auf so genannte False Positives. Die Ergebnisse werden dann in einem Bericht übersichtlich zusammengefasst. Unser grundlegender Penetrationstest umfasst die folgenden Aktivitäten (für ein Zielsystem):

  • Festlegung des Test-Scopes und Vorstellung der Methode
  • Informationsbeschaffung über die Zielsysteme aus öffentlich verfügbaren Quellen, aus Port-Scans und Vulnerability-Scans mit anerkannter Standardsoftware (z.B. Nessus, OpenVAS, etc.)
  • Überprüfung der Scanergebnisse auf False Positives und Zusammenstellung von Angriffsvektoren
  • Erstellung eines Berichts mit Darstellung der Findings und Ihrem Risikopotential, inklusive CVSS-Score
  • Präsentation des Berichts und der Findings
WordCloud_Nearshoring

Sie interessieren sich für unsere Serviceleistungen? Wir freuen uns auf Ihre Nachricht!

Um Ihnen die perfekte Lösung bieten zu können, benötigen wir genaue Informationen zu Ihren Anforderungen. Teilen Sie uns mit, wonach Sie suchen und Sie erhalten die bestmögliche Unterstützung.

Bitte geben Sie Ihren Namen ein.
Bitte geben Sie eine Nachricht ein.